IT技術の発展と伴い、様々な情報がインターネットを介にしてやり取りをされるようになりました。その中でも、企業における個人情報を適切な管理は、信頼に関わる重要な問題です。そんな個人情報に関して2022年4月には「改正個人情報保護法」が施行され、個人情報の取扱いに対する厳格な規定が明記されました。
今回、ペンタセキュリティが作成したホワイトペーパーでは、改正個人情報保護法の概要と、今後、企業に求められる対策について詳しく解説しています。まだ、どのような対策を実行すればいいかわからない方や対策導入を検討している方にお役に立つ資料になると思われますので、是非ご活用してください。
ホワイトペーパーのダウンロードはこちらのページからお申込みできます。
クラウドサービスを簡単に探し、情報収集できる検索サイト「クラウドレーダー」にて、社内にセキュリティ専門家がいなくても手軽に運用・導入できるCloudbric WAF+が紹介されました。
・掲載日:2022年8月24日
・掲載記事:詳細はこちらをご覧ください。
ご興味のある方はぜひご覧ください!
多くの企業でWebアプリケーションが利用されている今日、Webアプリケーションを狙った攻撃も多様化し、対応を迫られている企業も多いと思います。Webアプリケーションのセキュリティ対策の代表が「WAF」です。WAFは、Webアプリケーションへの通信を監視し、攻撃性のある通信を遮断するセキュリティ対策ですが、数ある製品の中からどのような基準で選べばよいのでしょうか。
ここでは、WAFの概要と機能やメリット、種類に加え、選ぶ際のポイントまで解説します。
まず、WAFの概要について解説します。WAFとは、Webアプリケーションに対するセキュリティ対策の一種です。ここでは、FW、IPS/IDSといったその他のセキュリティ対策との相違についてもご紹介します。
WAFとは、「Web Application Firewall」の略称で、文字通りWebアプリケーションの防御に特化したファイアウォールを指します。ショッピングサイトやSNSといった、「Webアプリケーション」と呼ばれる多くのWebサイトをサイバー攻撃から守るために使われています。WAFはWebアプリケーションの前面に配置され、脆弱性を悪用した攻撃からWebアプリケーションを守ります。一般にWebアプリケーションは、クライアント(ユーザー)からサーバーにリクエストが送られ、サーバー側がリクエストに応じたレスポンスをクライアントに返す、という仕組みで成り立っています。WAFはクライアントからの通信をサーバーが受ける前に解析し、攻撃性のあるものを検知・防御することで、Webアプリケーションを攻撃から守ります。WAFを配置することで、Webアプリケーションに脆弱性があっても被害に遭うリスクを低減することができます。もちろん脆弱性がないように改修することが根本的な対策ですが、改修が難しい脆弱性がWebアプリケーションにある場合や、修正に時間がかかる場合にWAFは重宝します。
Webアプリケーションを守るセキュリティ対策として、WAFと並んでよく知られているのが、「FW」と「IPS/IDS」です。両者とWAFはどのように異なるのでしょうか。「FW」は「Fire Wall」の略称です。FWはネットワークレベルでのセキュリティ対策で、通信の送信元と送信先の情報(IPアドレスやポート番号)を元にしてアクセスを制限します。通信の内容を確認しない、という点でWAFとは異なり、正常な通信を装った攻撃には対処しきれません。「IPS/IDS」はそれぞれ「Intrusion Prevention System/Intrusion Detection System」の略称です。共にプラットフォームレベル、つまりOSやミドルウェアに対するセキュリティ対策で、IPSは攻撃の検知と遮断が、IDSは攻撃の検知ができます。WAFとは違い、IPS/IDSはアプリケーション層に対するセキュリティ対策ではありません。
具体的にWAFにはどのような機能があるのでしょうか。ここではWAFの機能とメリットについて、さらに詳しくご紹介します。
WAFの主な機能として、「通信監視」「Cookie保護」「シグネチャー更新」「ログ収集と分析」といったものが挙げられます。
・通信監視
通信監視は、WAFの最も基本的な機能です。Webアプリケーションに送られてくる通信を常に監視して、攻撃性の高い通信を拒否することで、Webアプリケーションを保護します。
・Cookieの保護
Webアプリケーションを狙った攻撃の中には、Cookieを狙った攻撃も多数あります。Cookieにはログイン中のセッション情報など、重要な情報が含まれており、保護する必要があります。WAFはCookieの暗号化などの機能を備えており、Cookieを狙った攻撃からWebアプリケーションを守ります。
・シグネチャー更新
WAFの中には、は通信を監視する際、「シグネチャー」と呼ばれる攻撃的な通信のパターンと照合することで許可/不許可を判断するタイプがあります。シグネチャーを更新しないと、いつまでも古い攻撃にしか対応できません。WAFには、シグネチャーの更新機能があり、常に最新の攻撃に対応できるような仕組みを保っています。
・ログ収集と分析
WAFが拒否した通信の内容は、ログやレポートに記録されていきます。後からこのログを確認することで、最新の攻撃手法や対策を講じやすくなります。
WAFのメリットとして、「多くの攻撃を防げる」「効率のいい防御」「事後対策ができる」といった点が挙げられます。
・多くの攻撃を防げる
今日、Webアプリケーションを狙った攻撃には多くの種類があります。脆弱性を突いた攻撃のすべてに対する対策を施すにはコストも時間もかかります。WAFによっては対応しきれないものもあるため注意が必要ですが、多くの攻撃を防ぐことができます。
・効率のいい防御
WAFはWebサーバーの前面に配置して通信を監視するセキュリティ対策です。そのため、一つのWebサーバーに複数のアプリが配置されている場合でも、WAF一つで効率的にセキュリティ対策を施すことができます。
・事後対策ができる
万一セキュリティインシデントが発生した場合でも、WAFを配置することでサービスを復旧させ、脆弱性の改修に着手することができます。事前的な対策としてのみならず、WAFは事後対策としても有効なセキュリティ対策です。
WAFにはいくつか種類があります。設置形態によって、「ソフトウェア型」「アプライアンス型」「クラウド型」の三種類があり、クラウド型はさらに「シグネチャー方式」と「ロジックベース」に分かれます。
「ソフトウェア型」のWAFは、既存のWebサーバーに直接インストールするタイプのWAFです。ハードを用意する必要はありませんが、複数のサーバーにインストールする場合には台数分のコストがかかります。また、サーバーに直接インストールするため負荷がかかるというデメリットもあります。「アプライアンス型」のWAFは、クライアントとサーバーの間に機器を設置するタイプのWAFです。サーバーの台数に関わらず一台で済みますが、ハードを用意する必要があり、ネットワークの変更などの手間もかかります。「クラウド型」のWAFは、クラウドを経由して利用できるWAFです。他の2種類に比べてコストが低いのが特徴で、運用もベンダー側に任せることができます。クラウド型のWAFは、攻撃の検知の仕方によって「シグネチャー方式」と「ロジックベース」にさらに分かれます。
・クラウド型WAF:シグネチャー方式
「シグネチャー方式」は、主な攻撃のパターンを含む「シグネチャー」と通信を照合することで攻撃を検知する仕組みです。シグネチャー方式は既存の攻撃パターンに対する防御としては有効ですが、新しい攻撃が見つかるたびにシグネチャーを更新しなければならず、シグネチャーを増やせば増やすほどリソースを消費します。シグネチャーがまだ用意されていないゼロデイ攻撃に対応できない、という点にも注意すべきでしょう。
・クラウド型WAF:ロジックベース
「ロジックベース」は、事前に定められたロジックに従って攻撃を検知するタイプです。様々な攻撃パターンを解析することでロジックを導き出して攻撃の検知に用います。つまり、「攻撃パターンのパターン」をロジックとして使うため、シグネチャー方式に比べて必要なリソースをかなり抑えることができます。処理速度と性能を高いレベルで保ったまま、攻撃を防ぐことができます。パターンそのものを用いて攻撃を検知するシグネチャー方式とは違い、ゼロデイ攻撃にも対応できるというメリットもあります。
数あるWAFの中からどれを選ぶべきか、迷うこともあると思います。ここでは、WAF導入時にチェックすべきポイントとして、「費用」「セキュリティ機能」「サイトの処理性能への影響」「サポート体制」を解説します。
・費用
一点目は「費用」です。WAF専用機器の設置やソフトウェアにかかる初期費用と、導入後にかかる運用費用の二種類があります。一般に、ソフトウェア型やアプライアンス型よりも、クラウド型の方がコストを抑えやすく、月額数万円単位で利用できるというメリットがあります。
・セキュリティ機能
二点目は「セキュリティ機能」です。いくらコストが低くても、セキュリティ機能に難があれば意味がありません。セキュリティサービスとして十分なレベルの機能を有しているか、確認する必要があるでしょう。
・サイトの処理性能への影響
三点目は「サイトの処理性能への影響」です。WAFはWebアプリケーション、Webサイトを守るために配置されるため、WAFの導入はサイト自体への負荷につながります。そのため、WAFを導入した際にWebアプリケーションの利用が大きく妨げられないか、配慮する必要があります。事前にベンダーと相談のうえ、導入を検討しましょう。
・サポート体制
四点目は「サポート体制」です。WAFの使い方への質問や、セキュリティインシデントが発生した場合などにベンダーが迅速に対応してくれるか、といった点も重要です。インシデントに対して迅速に対応できないと、クライアントの信頼を失いかねません。ベンダーの実績やサポート内容を確認しましょう。
まとめ
WAFの導入は今や必須になりつつあります。多種多様なサイバー攻撃から効率よくWebアプリケーションを防御できるため、脆弱性の改修に手間がかかる場合の保険的対策としても有効です。WAFを選ぶ際には、費用や機能、サポート体制といったポイントに注意して複数の種類があるWAFの中で企業の環境と用途に応じ、最適なWAFを導入しましょう。Cloudbric WAF+はクラウド型サービスであり、WAF機能だけではなく、DDoS攻撃防御、SSL証明書の発行、悪性Bot・脅威IP遮断機能まで利用することができます。マネージドサービスも提供しているため、社内にセキュリティ担当者がいなくても手軽に導入・運用することができるサービスので、ぜひ検討してみてください。
この度、「ペンタセキュリティシステムズ株式会社×大興通信株式会社」の合同セミナーを開催することが決定しました。
「不正アクセス等のサイバー攻撃、どのように対応するか? ~昨今多発している不正アクセス等のサイバー攻撃対策に効果的なクラウド型WAFサービスをご紹介~」をテーマに、大興電子通信株式会社からは、「昨今多発している不正アクセスなどのサイバー攻撃対策」、当社からは「サイバー攻撃対策に有効なクラウド型WAFサービスのご紹介」と、最新のサイバー脅威トレンドから具体的な対策方法まで 各社からお話させて頂きます。
オンライン(Zoom)での開催となりますので、お気軽にご参加ください!
【セミナー概要】
■主 催:ペンタセキュリティシステムズ/大興電子通信
■日 程:2022年7月28日(木) 14:00~15:00
■会 場:オンライン(Zoomウェビナー)
■参加費:無料
■申込締切: 7月27日(水) 12:30
【講演プログラム】
13:45~14:00 受付
14:00~14:05 オープニング(マジセミ)
14:05~14:15 昨今多発している不正アクセス等のサイバー攻撃対策、どのように対応するか?(大興電子通信)
14:15~14:45 不正アクセス等のサイバー攻撃対策に有効な低コストで簡単導入・運用が可能なクラウド型WAFサービスのご紹介(ペンタセキュリティシステムズ)
14:45~14:55 質疑応答
終了いたしました。
「DDos攻撃」というサイバー攻撃を聞いたことがあるでしょうか。大量の通信を送り付けてサービスを利用停止に追い込む攻撃です。DDos攻撃は公に報じられることも多く、標的になると大きな被害が想定される攻撃です。ここでは、DDos攻撃の概要と被害状況や攻撃の種類に加え、有効な対策について解説します。
「DDos攻撃」とは、複数のコンピューターからウェブサイトやサーバー等に対して過剰なアクセスを試行したり、大量のデータを送信したりする攻撃です。「DDos攻撃」は、「Distributed Denial of service Attack」(分散型サービス拒否攻撃)の略称です。似た用語として、「Dos攻撃」があります。こちらは「Denial of Service Attack」(サービス拒否攻撃)の略称です。両者の違いは、攻撃が単一のコンピューターから仕掛けられるか、複数のコンピューターから仕掛けられるか、という点にあります。
「Dos攻撃」は、単一のコンピューターからの攻撃です。大量のアクセスを仕掛けることでサーバーの処理の限界を超えさせ、サービス停止に追い込む攻撃です。単一のコンピューターからの攻撃のため、事前に同一IPアドレスからのアクセス回数に制限を設ける、といった対策がとられてきました。そうした対策が必ずしも通用しないのが、新たに登場した「DDos攻撃」です。
「DDos攻撃」は、マルウェア等に感染させた複数のコンピューターを不正に乗っ取り、攻撃を仕掛けます。複数のコンピューターを利用し、IPアドレスを分散させることから、「Distributed」(分散型)と呼ばれます。特定のIPアドレスを制限することが難しく、第三者のコンピューターを不正に乗っ取っているため、真の攻撃者を特定することが難しい、という特徴があります。
「DDos攻撃」の標的になると、サービスや企業に大きな被害が及びます。サービスの停止による損害や、企業の信頼の喪失、攻撃を理由にした脅迫などが一般的な被害です。また、「DDos攻撃」によるサービス停止の混乱に乗じて別のサイバー攻撃を仕掛け、サーバーから情報を不正に盗んだり、データを書き換えたり、といった攻撃がなされる恐れもあります。
そんなDDos攻撃ですが、国内外問わず多くの被害事例があります。ここでは、国内での発生状況と、主要な被害事例をご紹介します。
DDos攻撃は、日本国内でも日々観測・報告されています。IIJの調査によれば、2022年1月から4月に観測されたDDos攻撃の件数はそれぞれ、「541件」「448件」「637件」「409件」と推移しています。月によって波はあるものの、毎月数百件はDDos攻撃が観測・報告されていることになります。一般に、DDos攻撃の標的となるのは個人ではなく一般企業や公的機関です。特に大きな企業や機関の場合、攻撃者の標的になりやすく、大きな被害が想定されますが、被害にあった場合の損害を考えると、中小企業でもDDos攻撃の対策を講じる必要があるでしょう。
日本国内だけでなく、DDos攻撃は世界的にも多くの被害を生んでいます。ここでは、日本国内を中心に被害事例をピックアップしてご紹介します。
・2015年 東京五輪大会組織委員会へのDDos攻撃
2015年11月、東京オリンピック大会組織委員会の公式HPに対して大量のアクセスがあり、サーバーの運営会社の判断で通信が遮断されました。サイトは12時間にわたって閉鎖されてしまいました。
・2016年 マルウェア「Mirai」による大規模DDos攻撃
2016年話題になったのが、マルウェア「Mirai」を利用したDDos攻撃です。「Mirai」はセキュリティの甘いIoT機器を標的として侵入して端末を乗っ取るマルウェアで、DDos攻撃に悪用されました。攻撃者は数十万の端末を乗っ取って大規模なDDos攻撃を仕掛けたとされています。
・2018年 「ファイナルファンタジーXIV」を狙ったDDos攻撃
2018年10月、スクウェア・エニックス社の人気オンラインゲーム「ファイナルファンタジーXIV」がDDos攻撃を受けます。日本やヨーロッパなどすべてのデータセンターが標的になり、一ヶ月以上の長期間にわたって被害が続きました。
DDos攻撃は、その攻撃手法からいくつかの種類に分けられます。ここでは、DDos攻撃の種類について主要なものを解説していきます。
・SYNフラッド攻撃 / FINフラッド攻撃
SYNフラッド攻撃 / FINフラッド攻撃は、「接続要求」と「切断要求」を大量に送る攻撃です。Webサーバーとクライアント(ユーザー)との通信規格である「TCP」において、通信は①「クライアントからの接続要求(SYN)/切断要求(FIN)」→②「サーバーの応答」→③「クライアントからの確認応答」という手順で成立/終了します。この接続要求(SYN)と切断要求(FIN)を利用した攻撃が、SYNフラッド攻撃 / FINフラッド攻撃です。攻撃者が接続元のIPを偽ってSYN/FINを送信すると、サーバー側は②の応答を送信し、クライアントからの③「確認応答」を待ちます。サーバーが確認応答を待ち続けることでサーバーのリソースが枯渇してしまうと、サービス停止に追い込まれます。
・ACKフラッド攻撃
「ACK」とは、先ほどの②と③に該当する「応答」および「確認応答」のことです。接続/切断には必ず接続要求(SYN)や切断要求(FIN)が必要ですが、それらを送らずに「確認応答」を送信すると、サーバー側は通信を廃棄し、「接続拒否」と返す仕組みになっています。この「確認応答」(ACK)を大量に送信することでサーバーのリソースを枯渇させるのが、ACKフラッド攻撃です。
・Slow HTTP DoS Attack
Slow HTTP DoS Attackは、先の2つの攻撃とは違い、少ない数のパケットを利用した攻撃です。長時間にわたってパケットを送信することでセッションを占有し、他ユーザーのアクセスを妨げます。パケット数が少なく済むため、大規模なサイトであっても少ないリソースで攻撃することが可能な攻撃手法です。
・DNSフラッド攻撃
DNSフラッド攻撃は、Webサーバーそのものではなく、そのWebサーバーの名前解決を担うDNSサーバーに対して大量の通信を送る攻撃です。「名前解決」とは、WebサイトのURLを表すドメイン名を、実際の通信送り先である「IPアドレス」に変換することを指し、DNSサーバーは送られてきたドメイン名をIPアドレスに変換してWebサーバーに送信します。DNSサーバーに対して大量の通信を送信することで、DNSサーバー間の通信を占有するのが、DNSフラッド攻撃です。
・ UDPフラッド攻撃
UDPとは通信規格の一種で、TCPとは違い、「SYN」や「ACK」といった事前の接続手順が省略された通信です。TCPよりもオーバーヘッドが低いという利点がありますが、接続確認等が行われないため悪用されやすいという欠点もあります。UDPフラッド攻撃は、そんなUDPを利用した攻撃です。大量のUDPパケットを送りつけることで、サーバーに負荷をかける攻撃手法です。
標的になると大きな被害が想定されるDDos攻撃。それでは、どのような対策が有効なのでしょうか。ここでは、主要な対策を4つご紹介します。
DDos攻撃はコンピューターからの通信を利用した攻撃です。そのため、そのコンピューターからの通信を制限すれば、攻撃の対策にはなります。しかし、Dos攻撃とは違い、DDos攻撃は複数のコンピューターからの攻撃のため、この対策は不十分なものとされています。
日本人のみを利用者として想定しているサイトであれば、海外からのアクセスや特定の国からのアクセスを遮断する、という対策も有効です。日本国内の企業が受けるDDos攻撃は一般に、海外のサーバーを経由して行われるため、海外からのアクセスを遮断することもDDos攻撃の対策になります。海外の利用者も想定したサービスの場合は、この対策を採用すると可用性を損なう恐れがあるため、万能な対策とは言い切れません。
今日、サイバー攻撃全般への対策として注目されているのが「WAF」(Web Application Firewall)です。WAFはアプリケーションへの通信を常に監視し、攻撃性のあるものを検知、遮断することでWebアプリケーションを守るツールです。Cloudbric WAF+はクラウドベースで提供されるWAFで利用準備に手間がかからず、新しい攻撃パターンにも迅速に対応できる、という特徴があります。また、WAF機能だけではなく、安全に通信するために必要なSSL証明書の提供、95ヵ国から収集した脅威情報をもとに脅威IPを遮断する機能、スパイウェア、スパムボットなどのような悪性ボットを遮断する機能、L3、L4、L7DDoS攻撃防御機能も提供する5in1Webセキュリティ対策です。
Cloudbric WAF+のより詳しい情報はこちらをご覧ください。
DDos攻撃専用の対策ツールを導入するというのも有効な対策です。Cloudbric ADDosは、DDos攻撃専用のセキュリティサービスです。リアルタイムに通信を監視しており、最大で65Tbpsの通信を分散させて緩和し、DDos攻撃の被害を未然に防ぎます。広い対応帯域や高速な処理スピード、脅威の分析や共有といった様々な機能を備えており、Cloudbric WAF+をはじめとする各種WAFと組み合わせて利用することもできます。
Cloudbric ADDoSのより詳しい情報はこちらをご覧ください。
DDos攻撃は、大量の通信を送ることで標的のサーバーのリソースを枯渇させ、サービスを利用停止に追い込むサイバー攻撃です。標的にされると損害が予想される他、企業の信頼の喪失や他のサイバー攻撃の隠れ蓑として利用されるなど、大きな被害が想定されます。日本国内でも月に数百件のDDos攻撃が観測されており、企業としてはきちんと対策を講じたいところです。弊社が提案する対策を参考にして、安全なDDoS対策を講じて頂ければ幸いです。
企業の不正アクセス被害が多数報道されています。個人情報の漏えいなど、企業としての信頼を失いかねない報道なだけに、注目している方も多いのではないでしょうか。そこで、今回は不正アクセスの概要と被害状況や事例に加え、不正アクセス対策について説明していきます。
そもそも「不正アクセス」とは、どのような行為を指す言葉なのでしょうか。「不正アクセス」という言葉は広い意味を持ちますが、一般的には、「サーバーやシステムなどに対し、アクセスする権限を持たないにも関わらず、不正にアクセスすること」を指します。企業への不正アクセスによって想定される一般的な被害としては、情報の漏えい、システムの乗っ取り、ファイルやサイトの改ざんといったところが挙げられます。
企業の情報システムの多くは、顧客の個人情報や取引の情報など外部に公表してはならない情報を含んでいます。ECサイト等で不正アクセスが発生すると、買い物客のクレジットカード情報等の流出により、大きな被害が発生します。Webサイトへの不正アクセスが成功すると、内部の設定を改ざんし、本来の動作とは異なる動作をさせることが可能になる場合があります。例えば、サイト内に任意の罠サイトへのリンクを設置することで、ユーザのPCをウイルスに感染させたり、スクリプトを実行させる攻撃も可能となります。また、不正アクセスが発生した場合、被害にあうのが自社のシステムだけとは限りません。システムを乗っ取られた場合、そのシステムを踏み台にしてさらに外部の組織の攻撃に利用される可能性もあります。
いずれの被害も、発生した場合にはシステムの利用や業務の存続に多大な影響が生じるだけでなく、知り合いや取引先企業の信頼を失う恐れがあります。特に企業の場合には、社会的な信頼を失う大きなリスクがあり、十分な対策が必要です。狙われやすいのは個人よりも一般企業がほとんどで、重要な情報資産を保持している企業がターゲットになる可能性が高いとされています。
不正アクセスの発生原因は、システムへのセキュリティ対策の不十分さや、無線LANやセキュリティソフトの設定の不備や古さ、利用者のセキュリティ意識の低さ等が挙げられます。それらに対する対策については、後ほど詳しく解説します。
実際に日本ではどのくらいの不正アクセスが発生しているのでしょうか。総務省の発表によれば、過去数年で不正アクセスの被害は増加傾向にあると言えるようです。2017年の不正アクセス認知件数が1202件、2018年の認知件数が1486だったのに対し、2019年の不正アクセス認知件数は2960件と前年の倍以上に上がっています。2020年の認知件数2806件、2021年の認知件数1516件と、ここ2年は減少していますが、それでも年に1000件を超える不正アクセスの被害が発生しています。またそれらの認知件数の内、例年、90%以上は一般企業が受けた被害です。大学や行政機関、プロバイダにも年に数件~数十件の不正アクセス被害が発生していますが、狙われやすい一般企業のセキュリティ対策が求められています。
不正アクセスが発生した場合に、攻撃者がどのような行為を行ったのかという情報も公開されています。2021年の場合、半数近い45.7%を占めているのは、「インターネットバンキング等での不正送金等」、次いで23.0%を占めているのが「インターネットショッピングでの不正購入」です。いずれも、攻撃者の金銭的な利益に直結する行為です。その他の行為としては、「メールの盗み見等の情報の不正入手」(11.5%)、「知人になりすましての情報発信」(4.7%)、「オンラインゲーム・コミュニティサイトの不正操作」(4.3%)が続きます。
(出典:総務省https://www.soumu.go.jp/main_content/000807446.pdf)
ここでは、実際に起こった不正アクセスの実例についてご紹介します。
2022年2月18日頃に確認された不正アクセス被害です。上智大学の複数のウェブサイトが改ざんされ、サイトの利用者が外部のアダルトサイトへと誘導するような画面がランダムで表示される仕組みになっていたとのことです。原因としては、パスワードを特定された可能性が高いとされています。現在では、サイトは全て復旧しています。
(出典:上智大学https://www.sophia.ac.jp/jpn/news/PR/220224_web503.html)
2022年3月13日、森永製菓株式会社が運用する複数のサーバーに障害が発生し、第三者による不正アクセスが確認されたとのことです。被害状況としては、複数のサーバーへの不正な侵入と、一部のデータがロックされていたようです。顧客への商品発送に関する情報が含まれており、氏名や住所、電話番号、メールアドレス等が流出した可能性があります。また、サーバーへの侵入経路としては、インターネット回線に設置していたネットワーク機器の脆弱性を利用したものとされています。
(出典:森永製菓株式会社https://www.morinaga.co.jp/company/newsrelease/detail.php?no=2178)
2021年11月に発生した不正アクセス被害です。宇都宮ケーブルテレビ株式会社が運営する通販サイト「いいもの、あるよ!」において、第三者による不正アクセスと、それに伴う個人情報漏えいが判明しました。システムの一部脆弱性をついた、第三者の不正アクセスにより、不正なファイルの設置と、決済用のアプリケーションの改ざんが行われたことが原因です。クレジットカード名義、番号、セキュリティコード等のクレジットカード情報の漏えいが確認されています。
(出典:宇都宮ケーブルテレビ株式会社https://aruyo21.jp/user_data/news_detail.php?id=1004)
それでは、そうした不正アクセスに対して、企業はどのような対策を行えばよいのでしょうか。企業として講じておくべき必須の対策をご紹介します。
OSやアプリケーション等のソフトウェアには、日々脆弱性が見つかっています。各ベンダーは、それらの修正パッチや最新版を定期的にリリースしているため、アップデートを怠って古いバージョンのソフトウェアを利用していると、それらに潜む脆弱性を利用して不正アクセスの被害にあう恐れがあります。ベンダーの情報やセキュリティ関連のニュースに目を通し、ソフトウェアを最新の状態にしておきましょう。
不正アクセスの発生原因として多数報告されているのが、システムへの不正なログインです。パスワードの漏えいや特定により、本来アクセス権限のない第三者によるログインを許容してしまう、というものです。そのため、パスワードを特定が困難なものに設定すること、具体的には「アルファベットの大文字と小文字、数字、記号を使用した8桁以上のもの」といった、強固なパスワードポリシーを設定し、定期的にパスワードを変更する、といったことが挙げられます。パスワード以外にも、SMSや生体情報を用いた多要素認証の仕組みを実装することでログイン方法を複雑化する、という手法も有効となります。
システムへの不正アクセスを防ぐためには、それを利用する利用者のセキュリティ意識も重要となります。パスワードの管理もその一つですが、怪しいメールを開かない、怪しいサイトにアクセスしない、といったセキュリティ意識を高く持つことで、防ぐことができる被害もあります。社員へのセキュリティ教育を行うなど、利用者のセキュリティ意識を徹底することが、企業の情報資産の保護につながります。
利用者の意識徹底や、ソフトウェアを最新版に保つだけでは、不正アクセス対策としては十分とは言えません。セキュリティサービスを導入することで、悪意のある通信やDos攻撃、Botなどを防ぐことが可能となります。
悪意のある通信やDDoS防御対策、悪性Botなどを防ぐ「Cloudbric WAF+」についてご説明します。「Cloudbric WAF+」は高性能でシステムに対する攻撃を防ぎ、Dos攻撃や悪性Botの遮断、脅威IPの遮断、新規脆弱性への迅速な対応など、多数の高機能を備えたセキュリティプラットフォームです。Webシステムを利用する全ての企業におすすめのセキュリティサービスです。
より詳しい情報を確認したい方はこちらをご覧ください。
不正アクセスは、第三者によるシステムへの不正な侵入を指します。不正アクセスが成功すると、重要な情報の漏えいやシステムの改ざん等、企業の信頼を失いかねない被害が発生します。社員をはじめ利用者のセキュリティ意識の徹底や、ソフトウェアの管理だけでなく、セキュリティサービスの導入によって、十分な対策を講じるようにしましょう。弊社が提案する対策を参考に安全な不正アクセス対策を講じて頂ければ幸いです。
Web脆弱性を突いた攻撃から、Webアプリケーションを守るセキュリティ対策として多くの企業で導入されているWAF(Web Application Firewall)」。企業のクラウド活用が加速している中、悪意のある第3者は次々に新たな手口を考案しており、サイバー攻撃の手法はますます巧妙化・多角化しています。従来のセキュリティ対策では守り切れないサイバー攻撃における新たな形のWebセキュリティ対策として、WAF、DDoS対策、ボット対策、APIセキュリティなどを組み合わせたクラウド型セキュリティサービス、「WAAP」という概念が登場しました。本記事では、WAFの進化型である「WAAP」について解説しています。
「WAAP( Web Application and API Protection )」とは、主にIT分野でのリサーチを行っている企業であるガートナー社が提唱する概念で、Webアプリケーション保護対策に加えAPI保護機能を備えているクラウド型セキュリティサービスを示します。「2021 Gartner® Magic Quadrant™ WAAP」によると、今年「WAAP」を導入している組織の割合は10%を下回っていますが、2026年までに40%へと伸びると予想されます。また、2024年までに、マルチクラウド戦略を採用している組織の約70%がクラウド基盤のWAAPを検討するようになるということで、今後WAAPがWebセキュリティ対策の新たな主流となっていくと見られます。
前述しましたが、「WAAP」はWebアプリケーション保護対策に加えAPI保護機能を備えているクラウド型セキュリティサービスとなります。WAAPには以下の4つのコア機能が含まれています。
また、オプション機能としてDNSセキュリティやCDNといった機能を備えているWAAPもあります。
ガードナー社では、現在サービスを提供しているWAAP製品のアナリストたちによる評価をWebサイトで紹介しています。詳細はこちらをご覧ください。
WAAPは、WebアプリケーションだけでなくAPIも保護対象としています。
実は、APIはWAFでも守ることが可能です。しかし、その保護が不十分であったことが、WAFがWAAPに進化していく理由の1つです。そもそもWAFでAPIが守れるのは、APIがHTTP通信を用いられ、WAFの検査対象に含まれるためです。つまり、WAFでのAPI保護は、その通信がサイバー攻撃なのかどうかを見分けるだけです。分類し、その結果に応じて危険なら通信を禁止し、安全だと判断されたら通信を許可します。
その判断基準として脆弱性を狙うサイバー攻撃かどうかを見極めますが、そもそもWAFが主な保護対象としているWebアプリケーションの脆弱性とは、アプリケーションを構成するシステムやプログラムの実装上の不備のことです。この不備を衝くサイバー攻撃はある程度パターン化しているため、そのパターンのノウハウの蓄積情報をもとに判断しているという特性を持ちます。
APIの脆弱性も実装上の不備ともいえますが、APIは取得したい情報や処理して欲しい内容をパラメータとして付与し、通信を行います。そのため、外部サービスとAPI連携の数だけ仕様が存在していることから、仕様の不備を狙うサイバー攻撃をパターン化することは事実上困難です。さらにAPI提供元が突然仕様を変更したことで、サイバー攻撃の見分けができなくなってしまう可能性もあります。そのため、API保護では下記の2つが重要です。
現在、APIを通じて社内外のさまざまなサービスを連携することで顧客の利便性を高めつつ、事業成長に繋げる動きが進んでいることから、APIを狙うサイバー攻撃が急増しています。しかし、主にWebアプリケーションを保護対象としているWAFのみだと、サイバー攻撃の選別に時間がかかったり、誤検知や仕様変更による検知の見逃しなどが発生しているのも現状です。そのため、API保護も考慮しているWAAPの重要性が高まりつつあります。
また、悪意のある第3者によるサイバー攻撃は多角化しているため、Bot攻撃やDDoS攻撃のなかにはWAFの保護対象外のサイバー攻撃もみられます。そのため、WAAPの今後は、WAFの機能にはないボット対策やDDoS対策の機能を超えたさらなる進化もみられるでしょう。
新たなWAAP製品・サービスが次々と誕生しています。WAAPが全く新しい概念ではないとはいえ、がWAAP製品やサービスを選ぶ基準についてはまだ明確な基準がないのも事実です。だからこそ、ガートナーにより公開された報告書内容を前提に、WAAPについて理解し、自社システムに合った対策を導入することが重要です。
ガートナーは、 「Defining Cloud Web Application and API Protection Services」において、WAAPの定義、仕組み、特長などを解説しています。また、次のように代表プロバイダー も紹介してますので、是非参考にしてみてください。
今回、弊社の「Cloudbric WAF+」が、ガードナー社のRepresentative Providers(代表プロバイダー)に選定されました。Cloudbric WAF+は、1つのプラットフォームにて WAFサービスに加え、L3/L4/L7DDoS防御、SSL証明書、脅威IP遮断、悪性ボット遮断など、Webアプリケーションセキュリティに必要な機能を統合提供しております。APIセキュリティも提供しているため、あらゆる範囲からのサイバー攻撃に対し、強固なセキュリティでWebサイトを守ることが可能です。そして、高セキュリティでありながらリーズナブルに利用することができることから、日本国内だけでも6,550サイト以上の導入実績があります。
Cloudbric WAF+へのお問い合わせはこちら。
今回は、ガートナー社によって提唱される「WAAP」について解説してきました。WAFだけでは守り切れない悪意のある第3者による攻撃は、今後も増えていくでしょう。そのような環境下で行うべきセキュリティ対策として、「WAAPの導入」や「API保護も可能なWAFを選ぶこと」は有効だと考えられます。ぜひ、自社にあったセキュリティ対策方法を導入して、万全なセキュリティ体制の構築してください。
コーポレートサイトとは、一般的には企業の公式サイトのことですが、「会社案内」「会社概要」「事業内容」などが記載されていることから企業の顔ともいえる存在です。他にも、企業理念や採用情報、プレスリリースなども掲載するケースも多く、さまざまなユースケースに活用されています。
ところで、国立研究開発法人情報通信研究機構(NICT)が発表した観測レポートによると、下図のとおり日本国内で観測された悪意のある第3 者からのサイバー攻撃は年々増加傾向にあります。
.png)
2020年には、WebサイトへのDRDoS攻撃(DoSリフレクション攻撃)の観測結果が1,820,722件とのことで、なかにはコーポレートサイトへの攻撃も含まれていました。このような背景にありながら、コーポレートサイトは顧客情報を取り扱っているECサイトと比べ、Webサイトセキュリティ対策が甘い傾向があります。本記事では、コーポレートサイトもWebセキュリティ対策が必要な理由と最適な対策方法について解説しています。
冒頭でも説明したとおり、日本国内で観測された悪意のある第3者からのサイバー攻撃は年々増加傾向にあります。そのため、顧客情報や社内情報を守るためのWebセキュリティ対策をしている企業も少なくありません。
悪意のある第3者からのサイバー攻撃には、コーポレートサイトを集中的に狙うケースも珍しくありませんが、コーポレートサイトのWebセキュリティ対策を行っている企業は、実はそれほど多くないのが現状です。例えば、2021年5月にはマッチングアプリ「omiai」などで知られる株式会社ネットマーケティングのコーポレートサイトがサイバー攻撃を受け、顧客の個人情報が流出した事件もありました。
コーポレートサイトへのサイバー攻撃が増えている理由は何でしょうか。
コーポレートサイトへのサイバー攻撃が増加している理由の1つが、経営者側のWebセキュリティに対する認識の甘さです。以前はサイバー攻撃といえば、国家や企業などの組織体の戦略変更やイメージダウン・株価操作などを狙う組織犯罪、産業スパイ活動を目的とした内容が多くを占めていました。そのため、当時経営者は、政府機関や大企業でなければ攻撃のターゲットにはならないという認識を抱えていました。
しかし、現代社会では大企業を狙って多額の詐欺を行ったり、政治的な目的を持ったサイバー攻撃ではなく、中小企業をターゲットにしたサイバー攻撃も増加しています。
そもそも、サイバー攻撃の目的も、下記のように多様化しています。
そのため、資産や機密情報の規模にかかわらず、どんな企業でも攻撃される可能性があるため、セキュリティ対策を経営戦略として行うことは経営者としての責務となっています。それにもかかわらず、Webセキュリティに対する認識が甘い経営者が多いため、経済産業省とIPA( 情報処理推進機構 )は2015年に「サイバーセキュリティ経営ガイドライン」を策定し、経営者に対してセキュリティ対策を推進するよう求めています。
企業のWebセキュリティ対策にかける予算(投資)の割合が低いことも、コーポレートサイトへのサイバー攻撃が増えている理由の1つです。現在、日本でも多くの企業が、DX(デジタルトランスフォーメーション)時代に向けてIT関連に予算を投じています。しかし、海外の企業と比べ、日本の企業はその予算に占めるWebセキュリティ関連の予算の割合は低いです。
NRIセキュアテクノロジーズ(NRIセキュア)が発表した「企業における情報セキュリティ実態調査2019」によると、IT関連予算に占めるWebセキュリティ関連予算の割合が10%以上と回答した企業は、米国企業は80%弱。一方で、日本企業は約30%に留まりました。
Webセキュリティ対策にコストをかける(セキュリティ投資をしている)企業の割合が低いことに加え、中小企業の場合、そのセキュリティ投資が間違った投資手段となっていることも珍しくありません。下記の内容が、間違ったWebセキュリティ投資例といえます。
コーポレートサイトをサイバー攻撃から守るためには、正しい方法でWebセキュリティ投資を行うことが重要です。
日本の中小企業におけるセキュリティ投資が、間違った方向性で行われていることも少なくないことは前述しました。それでは、コーポレートサイトの正しいWebセキュリティ対策方法は、どのようにすればよいのでしょうか?
結論をいえば、コーポレートサイトのWebセキュリティ対策を成功させるポイントは、下記の3つです。
コーポレートサイトにおいて、専門家や担当者の意見を聞かず経営者の判断のみで行ったWebセキュリティ対策は間違った対策になりやすいです。経営者の多くが「自社は大丈夫」と思い込んで、攻撃を受けたり情報が漏れて初めてセキュリティ対策の不備を自覚するケースも多いです。
また、自社に合った対策でなく、一般に良く知られているFW(ファイアウォール)やログの監視といった、現在ではそれだけでは不十分な対策のみ実施している企業も多いです。そのため、正しいWebセキュリティ投資を行うためには、まず経営陣に現在に適した対策方法を理解してもらうことが必至です。
コーポレートサイトがサイバー攻撃を受けたことで、個人情報が盗み出されたり、改ざんされたりする可能性があります。そもそも、コーポレートサイトだから個人情報を扱わないわけではありません。コーポレートサイトで個人情報は扱わず別システムで管理していても、サイバー攻撃によって、お問い合わせ入力フォームを改ざんされる危険性が伴います。また、そこから別システムに侵入して、情報を盗み出すという手口も存在します。
コーポレートサイトで個人情報は扱っていなくても、情報流出の危険性はあるため、個人情報の重要度は十分に理解しておくことが大切です。
最新もしくは高価格な製品・サービスを選べば、正しいWebセキリティ投資ができるわけではありません。正しいWebセキュリティ投資には、被害の発生確率と被害額に合った攻撃対策ツールを導入しなければいけません。
多くの企業がコーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにするケースも少なくありません。しかし、突発的な事例に対処することが困難なためおすすめしません。コーポレートサイトのWebセキュリティ対策のすべてを委託企業任せにしていた場合、下記のようなリスクがあります。
Webセキュリティ対策をベンダーに委託するのなら、この3つのリスクは意識しておく必要がありますが、まずはすべてを委託企業任せにしないことをおすすめします。
悪意のある第3者のターゲットとなりやすいコーポレートサイトを、サイバー攻撃から守る方法としておすすめなのが「WAF」です。WAFとは「Web Application Firewall」の略で、簡単に説明すると、Webアプリケーションの前面に配置される下記のような特徴を持つセキュリティ対策のことです。
そもそも、FWやログの監視といったWebセキュリティ対策のみで十分だという認識は間違いです。そして、経営陣のそのような認識を改めることが、正しいWebセキリティ投資を行うために必要だということは前述しました。確かに、それらも必要なWebセキュリティ対策の1つですがが、それだけではコーポレートサイトは守れません。しかしWAFであれば、FWやIPS/IDS(不正侵入防止システム/不正侵入検知システム)では守ることができない攻撃も防御可能です。
WAFには、下記の3つのタイプが存在し、それぞれで導入および運用方法が異なります。大手企業の場合はアプライアンス型を、中小企業はクラウド型のWAFを採用することが多いですが、自社のシステム環境に合ったWAFを導入することが重要です。
そのため、サイバー攻撃による被害の発生確率と被害額に合った対策が行えることも、コーポレートサイトを守る方法としてWAFをおすすめする理由です。
ペンタセキュリティでは、オンプレミス環境に合わせたアプライアンス型WAF「WAPPLES」、AWS、Azure等パブリッククラウドやプライベート環境に最適化されたソフトウェア型WAFの「WAPPLES SA」、DNS情報変更のみで簡単導入できるクラウド型WAFサービス「Cloudbric WAF+」など、企業環境に合わせて様々なタイプのWAFを提供しております。
Cloudbric WAF+の場合、基本的なWAF機能に加え、無償SSL機能、DDoS対策、悪性ボット遮断、脅威IP遮断など5つのWebセキュリティサービスを1つの統合したプラットフォームにて提供するクラウド型セキュリティサービスとして注目されています。
今回は、コーポレートサイトにもWebセキュリティ対策が必要な理由について解説してきました。悪意のある第3者がターゲットとするのは、ECサイトのような顧客情報を扱うサイトだけではありません。また、データサーバーを直接狙わず、コーポレートサイトから情報漏洩を誘発させる手口も存在します。
そのため、企業経営者は、正しいWebセキリティ対策とはどういったことなのかを正しく認識しておくことが重要です。また、Webセキュリティ投資への割合が低いのであれば、それを見直し、正しい方法でWebセキュリティ投資を行ってください。
「DDoS攻撃」、「脆弱性スキャン」、「Web改ざん」、「不正アクセス」
これらのサイバーセキュリティ被害事例は日々増加する一方です。企業の規模と業種を問わず、攻撃者は常にWebサイトへの攻撃を試みています。
本セミナーでは「なぜ、WAFを導入するのか。WAFの定義と防御領域」をテーマとして、Webサイトの保護に特化したセキュリティ対策としてのWAFの概念と必要性、ネットワーク・セキュリティ製品とWAFの防御領域の差異を詳しく解説します。
巧妙化・進化する攻撃から企業のWebサイトを守るためのセキュリティ対策を検討されている方はぜひご参加ください。
■このような方にオススメ!
✓そもそも”WAF”とはなにか、もう少し詳しく知りたい
✓Webセキュリティ対策を検討している
✓Webサイトに対するサイバー脅威の種類とそのリスクを知りたい
■お申込み : https://zoom.us/webinar/register/WN_yXHyFDQvTVGolVdj8wOABw
■日時 : 2021年11月10日(水)14:00~14:30(30分)
※ 13:50からご入場できます。
■場所: Zoomウェビナー
※ お申込みいただいた方に、視聴用URLをメールにてご案内いたします。
■参加費: 無料
この度、10月20日(水)~22日(金)に開催される『DMMオンライン展示会「業務改善DX EXPO ONLINE」』に出展いたします。
「DMMオンライン展示会」は2020年10月より新規事業として立ち上がったIT企業ならではのノウハウを活かしたオンラインイベント事業です。今回の展示会では、新型コロナウイルスの感染拡大の影響により、従来のやり方から変革が急務とされている業界に焦点をあて、新たな時代のビジネスの種を持ち帰っていただくことをコンセプトとして開催いたします。
当社は、 企業情報セキュリティにて必要とされているすべてのソリューションを統合された一つのプラットフォームで選択導入ができるクラウド型・セキュリティ・プラットフォーム・サービス「Cloudbric」をご紹介します。
参加登録いただいた方は、製品紹介の資料ダウンロードや、1:1個別マッチングが可能となりますので、皆様のご参加をお待ちしております。
「DMMオンライン展示会」開催概要
■日時:2021年10月20日(水)~22日(金)
■主 催:合同会社DMM.com
■公式Webサイト:https://exhibition.showbooth.dmm.com/events/dxweek2110/
展示製品
クラウド型セキュリティ・プラットフォーム・サービス「Cloudbric」
▪ クラウド型WAFサービス、Cloudbric WAF+(クラウドブリック ワフ・プラス)
▪ クラウド型Remote Access Solution、Cloudbric RAS(クラウドブリック ラス)
▪ Advanced DDoS Protection、Cloudbric ADDoS(クラウドブリック エーディドス)
